ISO 27001:2022 Annexe A Contrôle 5.17

Informations d'authentification

Demander demo

gros plan,sur,les,mains,de,diverce,groupe,d'étudiants,assis

ISO 27001:2022 Annexe A Le contrôle 5.17 stipule que les informations d'authentification doivent être conservées en sécurité.

Cela signifie que les organisations doivent prendre les mesures appropriées pour protéger les informations d'identification des utilisateurs, telles que les mots de passe et les questions de sécurité, contre tout accès non autorisé. Ils doivent également assurer que les utilisateurs peuvent accéder au système avec leurs informations d'identification de manière sécurisée. En outre, les organisations doivent également s'assurer que les utilisateurs peuvent réinitialiser leurs informations d'identification si nécessaire.

Les détails d'authentification (mots de passe, clés de cryptage et puces de carte) permettent d'accéder aux systèmes d'information contenant des données sensibles.

Une mauvaise gestion des informations d'authentification peut conduire à un accès non autorisé aux systèmes de données et à la perte de confidentialité, de disponibilité et d'intégrité des données sensibles.

Quel est l’objectif du contrôle 27001 de l’Annexe A de la norme ISO 2022 : 5.17 ?

L'Annexe A Contrôle 5.17 permet aux organisations d'attribuer et de gérer efficacement les informations d'authentification, en évitant les pannes dans le processus d'authentification et en se protégeant contre les menaces de sécurité qui pourraient résulter de la manipulation des informations d'authentification.

Propriété de l'annexe A 5.17

ISO 27001:2022 Annexe A Contrôle 5.17 exige l'établissement et la mise en œuvre de règles, procédures et mesures à l'échelle de l'organisation pour l'attribution et la gestion des informations d'authentification. Agents de sécurité de l'information devrait s’assurer du respect de ce contrôle.

Aller au sujet

Annexe A 5.17 Orientations sur l'attribution des informations d'authentification

Les organisations doivent respecter ces six exigences pour l’attribution et l’administration des informations d’authentification :

  • Lors de l’inscription de nouveaux utilisateurs, les mots de passe personnels et les numéros d’identification personnels générés automatiquement doivent être impossibles à deviner. De plus, chaque utilisateur doit disposer d'un mot de passe unique et il est obligatoire de changer les mots de passe après la première utilisation.

  • Les organisations doivent disposer de processus solides pour vérifier l'identité d'un utilisateur avant de lui fournir des informations d'authentification nouvelles ou de remplacement, ou de lui fournir des informations temporaires.

  • Les organisations doivent garantir la transmission sécurisée des informations d'authentification aux individus via des voies sécurisées et ne doivent pas envoyer de telles informations via des messages électroniques non sécurisés (par exemple, du texte brut).

  • Les utilisateurs doivent s'assurer qu'ils ont reçu les détails d'authentification.

  • Les organisations doivent agir rapidement après avoir installé de nouveaux systèmes et logiciels informatiques, en modifiant immédiatement les détails d'authentification par défaut.

  • Les organisations doivent établir et conserver de manière persistante des enregistrements de tous les événements importants liés à la gestion et à l'attribution des informations d'authentification. Ces enregistrements doivent rester confidentiels et les méthodes de conservation des enregistrements doivent être autorisées, par exemple avec l'utilisation d'un outil de mot de passe autorisé.

Annexe A 5.17 Orientations sur les responsabilités des utilisateurs

Les utilisateurs ayant accès aux informations d'authentification doivent être invités à respecter les points suivants :

  • Les utilisateurs doivent garder confidentielles les informations d'authentification secrètes telles que les mots de passe et ne doivent pas les partager avec quiconque. Lorsque plusieurs utilisateurs sont impliqués dans l'utilisation des informations d'authentification ou que les informations sont liées à des entités non personnelles, ils ne doivent pas les divulguer à des personnes non autorisées.

  • Les utilisateurs doivent changer leur mot de passe immédiatement si le secret de leur mot de passe a été violé.

  • Les utilisateurs doivent sélectionner des mots de passe difficiles à deviner et forts, conformes aux normes de l'industrie. Par exemple:

    • Les mots de passe ne doivent pas être basés sur des informations personnelles faciles à obtenir, telles que les noms ou les dates de naissance.

    • Les mots de passe ne doivent pas être fondés sur des informations faciles à deviner.

    • Les mots de passe ne doivent pas comprendre de mots ou de séquences de mots communs.

    • Utilisez des caractères alphanumériques et des caractères spéciaux dans votre mot de passe.

    • Les mots de passe doivent avoir une longueur minimale requise.
  • Les utilisateurs ne doivent pas utiliser le même mot de passe pour différents services.

  • Les organisations devraient faire en sorte que leurs employés acceptent la responsabilité de créer et d'utiliser des mots de passe dans leurs contrats de travail.

Annexe A 5.17 Orientations sur les systèmes de gestion des mots de passe

Les organisations doivent respecter les points suivants lors de la mise en place d’un système de gestion des mots de passe :

  • Les utilisateurs doivent avoir la possibilité de créer et de modifier leurs mots de passe, avec une procédure de vérification en place pour détecter et rectifier toute erreur lors de la saisie des données.

  • Les organisations doivent respecter les meilleures pratiques du secteur lors de l’élaboration d’un processus robuste de sélection de mots de passe.

  • Les utilisateurs doivent modifier leurs mots de passe par défaut lors du premier accès à un système.

  • Il est essentiel de changer les mots de passe le cas échéant. Par exemple, après un incident de sécurité ou lorsqu'un employé quitte son emploi et a accès à des mots de passe, un changement de mot de passe est nécessaire.

  • Les mots de passe précédents ne doivent pas être recyclés.

  • L'utilisation de mots de passe largement connus ou ayant fait l'objet d'un accès en violation de la sécurité ne devrait pas être autorisée pour accéder à des systèmes piratés.

  • Lorsque les mots de passe sont saisis, ils doivent être affichés à l’écran en texte clair.

  • Les mots de passe doivent être transmis et stockés via des canaux sécurisés dans un format sécurisé.

Les organisations doivent également mettre en œuvre des procédures de hachage et de cryptage conformes aux méthodes cryptographiques approuvées pour les mots de passe indiquées à l'annexe A. Contrôle 8.24 de la norme ISO 27001:2022.

Orientations supplémentaires sur le contrôle 5.17 de l’Annexe A

Outre les mots de passe, d'autres formes d'authentification, telles que les clés cryptographiques, les cartes à puce et les données biométriques telles que les empreintes digitales.

Les organisations doivent se tourner vers la série ISO/IEC 24760 pour obtenir des conseils supplémentaires sur les données d'authentification.

Compte tenu des tracas et des désagréments liés au changement régulier des mots de passe, les organisations peuvent envisager des alternatives telles que l’authentification unique ou les coffres-forts de mots de passe. Il convient toutefois de noter que ces options augmentent le risque que les informations d'authentification confidentielles soient exposées à des parties non autorisées.

Modifications et différences par rapport à la norme ISO 27001:2013

ISO 27001: 2022 L'Annexe A 5.17 remplace l'ISO 27001:2013 Annexe A 9.2.4, 9.3.1 et 9.4.3.

La norme ISO 27001 : 2022 contient une nouvelle exigence en matière d'attribution et de gestion des informations d'authentification

En 2013, les exigences en matière d'attribution et de gestion des informations d'authentification étaient très similaires. Cependant, ISO 27001:2022 Annexe A Contrôle 5.17 introduit une exigence qui n’existait pas en 2013.

Les organisations doivent créer et conserver des enregistrements pour tous les événements importants associés à la gestion et à la distribution des informations d'authentification. Ces enregistrements doivent rester confidentiels, avec des techniques de tenue de dossiers autorisées, par exemple l'utilisation d'un outil de mot de passe accepté.

La version 2022 contient une exigence supplémentaire concernant l'utilisation des informations d'authentification

ISO 27001:2022 Annexe A Contrôle 5.17 introduit une exigence relative aux responsabilités des utilisateurs qui n'était pas spécifiée dans le Contrôle 9.3.1 de la version 2013.

Les organisations devraient inclure des exigences en matière de mot de passe dans leurs contrats avec leurs employés et leur personnel. Ces exigences devraient couvrir la création et l’utilisation de mots de passe.

La norme ISO 27001 : 2013 contenait des exigences supplémentaires concernant les responsabilités des utilisateurs qui n'étaient pas incluses dans la version 2022.

Par rapport à la version 2022, le contrôle 9.3.1 contenait le mandat suivant pour l'utilisation des données d'authentification :

Les utilisateurs ne doivent pas utiliser les mêmes informations d'authentification, par exemple un mot de passe, à des fins professionnelles et non professionnelles.

La norme ISO 27001 : 2013 contenait une exigence supplémentaire pour les systèmes de gestion de mots de passe qui n'était pas incluse dans la version 2022.

Le contrôle 9.4.3 de la version 2013 exige que les systèmes de gestion des mots de passe :

Assurez-vous que les fichiers avec des mots de passe doivent être conservés sur un système différent de celui hébergeant les données de l'application.

La norme ISO 27001 : 2022, Annexe A, Contrôle 5.17 ne l’exige pas.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment l'aide d'ISMS.online

ISMS.Online permet aux organisations et aux entreprises de se conformer aux exigences de la norme ISO 27001:2022 en leur fournissant une plateforme qui facilite la gestion, la mise à jour, les tests et le suivi de l'efficacité de leurs politiques et procédures de confidentialité ou de non-divulgation.

Nous proposons une plateforme basée sur le cloud pour administrer la confidentialité et Systèmes de gestion de la sécurité de l'information, comprenant des clauses de non-divulgation, la gestion des risques, des politiques, des plans et des procédures, le tout dans un seul endroit pratique. Il est simple à utiliser, avec une interface intuitive qui facilite son apprentissage.

Contactez-nous aujourd'hui pour organiser une démonstration.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage